Курс MTCNA

c 24 сентября
в Твери

Забыл пароль от клиента VPN, как вспомнить пароль.

Забыл пароль от клиента VPN, как вспомнить пароль.

vasilev kirill

Была у меня такая ситуация, на клиентом MikroTik Client (R2) был настроен VPN до другого MikroTik (R1) Server.

Настроил и забыл. Отдал все рабочие маршрутизаторы клиенту, предупредил что необходимо сделать backup и забыл про клиента. Проходит полгода, звонит клиент, говорит «шеф всё пропало»

История, R2 уехал далеко за Урал, а политики безопасности разрешают подключаться (winbox, ssh etc.) только из vpn туннеля.

Заказчик забыл пароль на MikroTik R1 сбрасывает его, и тут он вспомнил что не делал backup.

Мы всегда все настройки своих проектов храним в git, так долго на сколько это возможно, поэтому быстренько раскатали конфигурацию из git, но на то он и проект, все пароли которые были в нашей конфигурации были заказчиком изменены для того, чтобы не было даже намёка на возможность понижения уровня безопасности. Да и мы всегда предупреждаем, что это необходимо сделать.

Что в итоге имеем

R1 – полностью подконтрольный нам маршрутизатор, с настроенным vpn сервером

R2 – настроенный маршрутизатор, который постоянно ломится на R1, пытается поднять vpn соединение, но у нас нет возможности управлять маршрутизатором, так как в firewall явно прописано, что подключится можно только с сетей, которые находятся за данным vpn

Ну, что же задача понятна, надо делать.

И так, так как у нас есть все настройки, также и для R2 которые хранились в git, мы развернули стенд в eve-ng со всеми реальными ip адресами, чтобы была полное повторение реальной конфигурации.

R2 не при каких обстоятельствах трогать не можем, а вот R1 крути как, хочешь.

Наблюдаем такую картину на R1

Настроили снифер, для того чтобы отобрать весь трафик l2tp трафик от хоста

/tool sniffer

set filter-interface=ether1 filter-ip-address=1.1.1.3/32 \

filter-ip-protocol=udp streaming-enabled=yes streaming-server=10.11.101.107

Наблюдаем такую картину

R2 - 1.1.1.3 (клиент)

R1 - 4.4.4.8 (сервер)

Понятно, что L2TP протокол нас не интересует, так как там нечего интересного, а вот PPP в самое интересное.

Посмотрим, что присылает клиент

LCP сообщение о размере MTU

Идём дальше

Тут видим, что клиент будет использовать алгоритм MS-CHAP-2

В конфигурации клиента, в нашей конфе из git было явно указанно, что клиент использует только mschap

/interface l2tp-client

add allow=mschap2 connect-to=4.4.4.8 disabled=no name=l2tp-out1 \ password=gihreilughaerlk user=vpn-client01

Прошло пол года, клиент активно занимался, модификацией конфигурации, для своих нужд. Возможно что то изменено в клиенте.

И тут нам повезло, клиент сознался когда перенастраивал пароль, не просто изменил пароль, но и пересоздал клиента.

А по умолчанию там так

Первым делом переводим сервер, на работу только PAP

и тут же получаем пароль в открытом виде.

На этом всё